ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


1. Общиеположения

1.1. НастоящаяПолитика в отношении обработки персональных данных (далее – Политика)составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «Оперсональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативнымиправовыми актами Российской Федерации в области защиты и обработки персональныхданных и действует в отношении всех персональных данных (далее – данные),которые Организация (далее – Оператор, Общество) может получить от субъектаперсональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее –Пользователь) во время использования им любого из сайтов, сервисов, служб,программ, продуктов или услуг ИПНенахова А.А., а также от субъекта персональных данных, состоящего с Операторомв отношениях, регулируемых трудовым законодательством (далее – Работник).

1.2. Операторобеспечивает защиту обрабатываемых персональных данных от несанкционированногодоступа и разглашения, неправомерного использования или утраты в соответствии стребованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональныхданных».

1.3. Операторвправе вносить изменения в настоящую Политику. При внесении изменений взаголовке Политики указывается дата последнего обновления редакции. Новаяредакция Политики вступает в силу с момента ее размещения на сайте, если иноене предусмотрено новой редакцией Политики.

 

2. Термины ипринятые сокращения

Персональныеданные – любая информация, относящаяся к прямо или косвенно определенному илиопределяемому физическому лицу (субъекту персональных данных).

Обработкаперсональных данных – любое действие (операция) или совокупность действий (операций),совершаемых с использованием средств автоматизации или без использования такихсредств с персональными данными, включая сбор, запись, систематизацию,накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированнаяобработка персональных данных – обработка персональных данных с помощью средстввычислительной техники.

Информационнаясистема персональных данных (ИСПД) – совокупность содержащихся в базах данныхперсональных данных и обеспечивающих их обработку информационных технологий итехнических средств.

Персональныеданные, сделанные общедоступными субъектом персональных данных, – персональныеданные, доступ неограниченного круга лиц к которым предоставлен субъектомперсональных данных либо по его просьбе.

Блокированиеперсональных данных – временное прекращение обработки персональных данных (заисключением случаев, если обработка необходима для уточнения персональныхданных).

Уничтожениеперсональных данных – действия, в результате которых становится невозможнымвосстановить содержание персональных данных в информационной системеперсональных данных и (или) в результате которых уничтожаются материальныеносители персональных данных.

Оператор –организация, самостоятельно или совместно с другими лицами организующаяобработку персональных данных, а также определяющая цели обработки персональныхданных, подлежащих обработке, действия (операции), совершаемые с персональнымиданными.

 

3. Обработкаперсональных данных

3.1. Получениеперсональных данных.

3.1.1. Всеперсональные данные следует получать от самого субъекта. Если персональныеданные субъекта можно получить только у третьей стороны, то субъект должен бытьуведомлен об этом или от него должно быть получено согласие.

3.1.2.Оператор должен сообщить субъекту о целях, предполагаемых источниках и способахполучения персональных данных, характере подлежащих получению персональныхданных, перечне действий с персональными данными, сроке, в течение которогодействует согласие, и порядке его отзыва, а также о последствиях отказасубъекта дать письменное согласие на их получение.

3.1.3.Документы, содержащие персональные данные, создаются путем:

– копированияоригиналов документов (паспорт, документ об образовании, свидетельство ИНН,пенсионное свидетельство и др.);

– внесениясведений в учетные формы;

– полученияоригиналов необходимых документов (трудовая книжка, медицинское заключение,характеристика и др.).

3.2. Обработкаперсональных данных.

3.2.1.Обработка персональных данных осуществляется:

– с согласиясубъекта персональных данных на обработку его персональных данных;

– в случаях,когда обработка персональных данных необходима для осуществления и выполнениявозложенных законодательством РФ функций, полномочий и обязанностей;

– в случаях,когда осуществляется обработка персональных данных, доступ неограниченногокруга лиц к которым предоставлен субъектом персональных данных либо по егопросьбе (далее – персональные данные, сделанные общедоступными субъектомперсональных данных).

3.2.2. Целиобработки персональных данных:

– осуществлениетрудовых отношений;

– осуществлениегражданско-правовых отношений;

        –для связи с пользователем, в связи с заполнением формыобратной связи на сайте, в  том числе направление уведомлений, запросов иинформации, касающихся использования сайта магазина, обработки, согласования заказови их доставки, исполнения соглашений и договоров;

        -обезличивания персональных данных для получения обезличенных статистическихданных, которые передаются третьему лицу для проведения исследований,выполнения работ или оказания услуг по поручению магазина.

3.2.3.Категории субъектов персональных данных.

Обрабатываютсяперсональные данные следующих субъектов персональных данных:

– физическиелица, состоящие с Обществом в трудовых отношениях;

– физическиелица, уволившиеся из Общества;

– физические лица,являющиеся кандидатами на работу;

– физическиелица, состоящие с Обществом в гражданско-правовых отношениях;

– физическиелица, являющиеся Пользователями Сайта Магазина.

3.2.4.Персональные данные, обрабатываемые Оператором:

– данные,полученные при осуществлении трудовых отношений;

– данные,полученные для осуществления отбора кандидатов на работу;

– данные,полученные при осуществлении гражданско-правовых отношений;

– данные,полученные от Пользователей Сайта Магазина.

3.2.5.Обработка персональных данных ведется:

– сиспользованием средств автоматизации;

– безиспользования средств автоматизации.

3.3. Хранениеперсональных данных.

3.3.1.Персональные данные субъектов могут быть получены, проходить дальнейшуюобработку и передаваться на хранение как на бумажных носителях, так и вэлектронном виде.

3.3.2.Персональные данные, зафиксированные на бумажных носителях, хранятся взапираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3.Персональные данные субъектов, обрабатываемые с использованием средствавтоматизации в разных целях, хранятся в разных папках.

3.3.4. Недопускается хранение и размещение документов, содержащих персональных данных, воткрытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5.Хранение персональных данных в форме, позволяющей определить субъектаперсональных данных, осуществляется не дольше, чем этого требуют цели ихобработки, и они подлежат уничтожению по достижении целей обработки или вслучае утраты необходимости в их достижении.

3.4. Уничтожениеперсональных данных.

3.4.1.Уничтожение документов (носителей), содержащих персональных данных,производится путем сожжения, дробления (измельчения), химического разложения,превращения в бесформенную массу или порошок. Для уничтожения бумажных документовдопускается применение шредера.

3.4.2.Персональные данные на электронных носителях уничтожаются путем стирания илиформатирования носителя.

3.4.3. Фактуничтожения персональных данных подтверждается документально актом обуничтожении носителей.

3.5. Передачаперсональных данных.

3.5.1.Оператор передает персональные данные третьим лицам в следующих случаях:

– субъектвыразил свое согласие на такие действия;

– передачапредусмотрена российским или иным применимым законодательством в рамкахустановленной законодательством процедуры.

3.5.2.Перечень лиц, которым передаются персональные данные.

– Пенсионныйфонд РФ для учета (на законных основаниях);

– налоговыеорганы РФ (на законных основаниях);

– Фондсоциального страхования РФ (на законных основаниях);

– территориальныйфонд обязательного медицинского страхования (на законных основаниях);

– страховыемедицинские организации по обязательному и добровольному медицинскомустрахованию (на законных основаниях);

– банки дляначисления заработной платы (на основании договора);

– органы МВДРоссии в случаях, установленных законодательством;

– обезличенныеперсональные данные Пользователей сайта интернет-магазина передаютсяконтрагентам Магазина.

 

4. Защитаперсональных данных

4.1. Всоответствии с требованиями нормативных документов Оператором создана системазащиты персональных данных (СЗПД), состоящая из подсистем правовой,организационной и технической защиты.

4.2.Подсистема правовой защиты представляет собой комплекс правовых,организационно-распорядительных и нормативных документов, обеспечивающихсоздание, функционирование и совершенствование СЗПД.

4.3.Подсистема организационной защиты включает в себя организацию структурыуправления СЗПД, разрешительной системы, защиты информации при работе ссотрудниками, партнерами и сторонними лицами.

4.4.Подсистема технической защиты включает в себя комплекс технических,программных, программно-аппаратных средств, обеспечивающих защиту персональныхданных.

4.4. Основнымимерами защиты персональных данных, используемыми Оператором, являются:

4.5.1.Назначение лица, ответственного за обработку персональных данных, котороеосуществляет организацию обработки персональных данных, обучение и инструктаж,внутренний контроль за соблюдением учреждением и его работниками требований кзащите персональных данных.

4.5.2.Определение актуальных угроз безопасности персональных данных при их обработкев ИСПД и разработка мер и мероприятий по защите персональных данных.

4.5.3.Разработка политики в отношении обработки персональных данных.

4.5.4.Установление правил доступа к персональных данных, обрабатываемым в ИСПД, атакже обеспечение регистрации и учета всех действий, совершаемых сперсональными данными в ИСПД.

4.5.5.Установление индивидуальных паролей доступа сотрудников в информационнуюсистему в соответствии с их производственными обязанностями.

4.5.6.Применение прошедших в установленном порядке процедуру оценки соответствиясредств защиты информации.

4.5.7.Сертифицированное антивирусное программное обеспечение с регулярно обновляемымибазами.

4.5.8.Соблюдение условий, обеспечивающих сохранность персональных данных иисключающих несанкционированный к ним доступ.

4.5.9.Обнаружение фактов несанкционированного доступа к персональным данным ипринятие мер.

4.5.10.Восстановление персональных данных, модифицированных или уничтоженныхвследствие несанкционированного доступа к ним.

4.5.11.Обучение работников Оператора, непосредственно осуществляющих обработкуперсональных данных, положениям законодательства РФ о персональных данных, в томчисле требованиям к защите персональных данных, документам, определяющимполитику Оператора в отношении обработки персональных данных, локальным актампо вопросам обработки персональных данных.

4.5.12.Осуществление внутреннего контроля и аудита.

 

5. Основныеправа субъекта персональныхданных и обязанности Оператора

5.1. Основныеправа субъекта персональных данных.

Субъект имеетправо на доступ к его персональным данным и следующим сведениям:

– подтверждениефакта обработки персональных данных Оператором;

– правовыеоснования и цели обработки персональных данных;

– цели иприменяемые Оператором способы обработки персональных данных;

– наименованиеи место нахождения Оператора, сведения о лицах (за исключением работниковОператора), которые имеют доступ к персональных данных или которым могут бытьраскрыты персональные данные на основании договора с Оператором или наосновании федерального закона;

– срокиобработки персональных данных, в том числе сроки их хранения;

– порядокосуществления субъектом персональных данных прав, предусмотренных Федеральнымзаконом;

– наименованиеили фамилия, имя, отчество и адрес лица, осуществляющего обработку персональныхданных по поручению Оператора, если обработка поручена или будет порученатакому лицу;

– обращение кОператору и направление ему запросов;

– обжалованиедействий или бездействия Оператора.

5.2.Обязанности Оператора.

Операторобязан:

– при сбореперсональных данных предоставить информацию об обработке персональных данных;

– в случаяхесли персональные данные были получены не от субъекта персональных данных,уведомить субъекта;

– при отказе впредоставлении персональных данных субъекту разъясняются последствия такогоотказа;

– опубликоватьили иным образом обеспечить неограниченный доступ к документу, определяющемуего политику в отношении обработки персональных данных, к сведениям ореализуемых требованиях к защите персональных данных;

– приниматьнеобходимые правовые, организационные и технические меры или обеспечивать ихпринятие для защиты персональных данных от неправомерного или случайногодоступа к ним, уничтожения, изменения, блокирования, копирования,предоставления, распространения персональных данных, а также от иныхнеправомерных действий в отношении персональных данных;

– даватьответы на запросы и обращения субъектов персональных данных, их представителейи уполномоченного органа по защите прав субъектов персональных данных.